Quick Look
シャドーITのリスクが、業務ツールの無断利用から、SNS投稿や生成AI利用など、私用デジタル接点での情報漏えいへと拡大。従業員の無自覚な行動が情報管理の新たな入口となり、企業はルールと教育の再設計を迫られている。
AI-generated summary
Why It Matters
従来シャドーITは、IT部門の承認を得ずに事業部門や従業員がクラウドサービスなどを業務利用する問題や、私用スマホ・PCを業務に使うBYOD問題を含んでいた。現場のスピード感とIT部門の統制のギャップが背景にあった。 しかし、今回の事案では、業務以外で使われていた個人のスマートフォンとアプリが問題となり、私用デジタルツールでも業務空間に入り込めば情報漏えい経路になることが露呈した。
従来シャドーITには、IT部門の承認を得ずに事業部門や従業員がクラウドサービスやファイル共有サービス、チャットツールなどを業務利用する問題に加え、私用のスマートフォンやPCを業務に使うBYOD(Bring Your Own Device)の問題も含まれていました。
この背景には、現場のスピード感とIT部門の統制のギャップがあります。現場は今すぐ使いたい。しかし、IT部門はセキュリティや契約の確認、ID管理などを考えなければなりません。その「隙間」で便利な外部サービスや私用デバイスが使われ、情報漏えいやデータ管理上のリスクを生む――。これが、これまでの典型的な構図でした。
しかし、今回のような事案は、その枠組みをさらに広げて考える必要があります。問題となったのは、業務のために無断で使われたツールやデバイスではなく、業務以外で使われていた個人のスマートフォンとアプリでした。つまり、私用を前提としたデジタルツールであっても、業務空間に入り込めば、顧客情報や業務情報が漏えいする経路になることが露呈しました。
このように、リスクの入口は、業務目的で導入されたITツールだけではなくなっています。私用のスマートフォンやSNS、ブラウザ拡張機能、翻訳サービス、クラウドストレージなど企業が把握しきれないデジタル接点は日々増えています。それらは個人の習慣や友人とのコミュニケーション、趣味、そして「ちょっとした便利さ」の延長線上で使われます。しかし、ひとたび業務の場に持ち込まれると、企業にとってのリスクになり得るのです。
つまり、シャドーITは「会社が知らないところで業務にツールや私用デバイスが使われる問題」から、「会社が知らないデジタル接点が業務情報に触れる問題」へと変わりつつあるということが、今回の事案で強く認識させられたといえるでしょう。
新しいリスクは、無自覚から生まれる
このように、シャドーITのリスクがデジタル接点全体へ広がるほど、企業にとって厄介になるのが、リスクの発生源が見えにくくなることです。情報漏えいというと、悪意ある持ち出しや外部からの攻撃を想像しがちですが、現在のシャドーITリスクの多くは従業員の悪意ではなく、無自覚から生まれます。
例えば職場や同僚の様子を何気なく写真に撮る、社内イベントの雰囲気を動画で残す、休憩中の一コマをSNSに投稿する――。本人にとっては日常の記録や社内の楽しい雰囲気の共有であっても、その背景には、企業が外に出したくない情報が写り込んでいる場合があります。こうした日常的な行動の積み重ねが、情報管理の隙間をつくります。
企業にとって守るべき情報は、氏名や住所のような分かりやすい個人情報だけではありません。ホワイトボードのメモやPC画面、座席表、訪問者名、書類の一部、会議室の利用状況、顧客名らしき文字なども組み合わせれば重要な情報になります。
さらに、取引先との会食の様子をSNSに投稿すれば、本来は公表すべきではない企業の関係が外部に知られることもあり得ます。動画や画像は、撮影した本人が意識していない背景情報だけでなく、関係性までも記録してしまうのです。
しかも、こうした動画や画像は、いったんデジタルデータとして残ると、後からさまざまな形で読み解かれる可能性があります。冒頭に触れたBeRealの事案も、投稿自体は1年以上前だったという指摘もあります。
また、AIによる画像解析や文字認識が一般化すれば、人間の目では読み取りにくい文字や背景情報も抽出されやすくなります。これまでは「一瞬映っただけ」と見過ごされていた情報が、後から解析可能なデータになるかもしれません。
問題は、従業員が会社の情報を盗もうとしていることではありません。日常的なデジタル行動が、会社の情報管理リスクとつながっているという認識を持ちにくいことにあるのだと筆者は考えています。
シャドーAIは、多様化するシャドーITリスクの一形態
この構図を、AIの利用に当てはめると見えてくるのが「シャドーAI」です。
生成AIの普及により、従業員は個人アカウントで利用するAIサービスに文章の要約や電子メールの作成、議事録の整理、企画書の作成、翻訳、コード生成などを依頼できるようになりました。
業務効率化の手段としては有効です。しかし、会社が承認していないAIサービスに社内資料や顧客情報、会議内容、契約書、ソースコード、システムログなどが入力されれば、それは新たな情報漏えいリスクになります。
サービスや契約条件によっては、入力した情報が保存されたり、モデル改善や学習データとして利用されたりする可能性もあります。仮に学習データとして取り込まれれば、後から簡単に消去することは困難です。実際に、ある生成AIサービスでは設定不備により、利用者が入力したプロンプトや生成結果、登録情報が第三者から閲覧・編集可能な状態になっていた事案がありました。
ここで筆者が強調したいことは、シャドーAIを特別な問題として切り離すべきではないという点です。
前述したSNSへの投稿と同じように、シャドーAIもまた、従業員の無自覚な行動から生まれるシャドーITの一つです。新たな情報漏えいリスクとなっています。ただし、その怖さは、漏えいした情報の行き先や使われ方を企業が追いにくい点にあります。
SNSであれば、動画や画像に写り込んだ情報が漏れます。クラウドストレージであれば、保存されたファイルが漏れます。しかしAIでは、入力した情報が要約され、加工され、場合によっては学習や改善に使われ、別の文脈で再利用される可能性があります。従業員から見れば「少し文章を整えてもらっただけ」「社名を消したから大丈夫」という感覚かもしれません。それを企業から見れば、業務情報やその背景にある文脈を外部のAIサービスに渡し、その後の管理や回収が難しくなるというリスクを抱えることになります。
デジタル接点を前提に、ルールと教育を再設計する
では、企業はどう対応すべきでしょうか。
まず避けたいのは、単純な禁止論です。もちろん、厳格な撮影禁止や外部サービス利用禁止が必要な領域はあります。しかし、私用スマートフォンやSNSなどを全て禁止し、完全に監視し続けることは現実的ではありません。
従業員の日常的なデジタル行動と業務空間が重なる以上、禁止だけでリスクを抑え込むには限界があります。
むしろ、一律に禁止を強めすぎると、従業員から「実態に合わないルールだ」と受け止められ、不満や納得感の欠如につながりかねません。その結果、ルールが形骸化し、本当に守るべき境界線まで曖昧(あいまい)になる恐れがあります。
だからこそ必要なのは、禁止を増やすことではなく、シャドーIT対策の視点を変えることだと筆者は考えています。
これまでのIT部門は、「どのツールや端末が業務に使われているか」を把握することが管理の中心でした。しかしこれからは、それだけでは不十分となります。
職場での撮影や録音、SNSへの投稿、会議内容の外部送信、文書や電子メールのAI読み込みといった日常的な行動で、どの業務情報がどこから外に出る可能性があるかを捉える必要があります。つまり、ツール単位ではなく、情報が外に出る経路ごとにリスクを棚卸しすることが求められます。
リスクの経路を把握した上で重要になるのが、プライベートと業務の境界が曖昧になりやすいデジタル接点に関するルールの再設計です。従来のように「このツールを業務で使ってよいか」「この端末を会社に接続してよいか」だけでは、現在のリスクに対応しきれません。私用スマートフォンでの撮影やSNSへの投稿、生成AIへの入力、ブラウザ拡張機能の利用など、個人の行動と業務情報が交わる場面を前提にどの情報を、どの場面で、どこに出してはいけないのかを具体化する必要があります。
例えば、生成AIツールに入力してはいけない情報を明確にする。職場での撮影は撮影禁止エリアや投稿を禁止する範囲、写り込み確認のルールを具体的に示すことが求められます。
そして、もう一つ欠かせないのが、全従業員に対する教育です。ルールを作ることは重要ですが、ルールだけでは多様化するシャドーITのリスクには追いつきません。SNSや生成AIは、あらゆる世代の従業員が日常的に利用するデジタル行動の一部になっています。
だからこそ取引先との会食や社内イベント、会議室での撮影、生成AIへの資料貼り付けなど身近な場面を題材にしながら、「何が写ると危険なのか」「どの情報をAIに入力してはいけないのか」「どのような行動が業務情報の漏えいにつながるのか」を具体的に理解するための教育が必要になります。
まとめ
今回のSNS投稿を巡る情報漏えい事案は、たまたま表面化した個別の問題ではありません。従業員の何気ないデジタル行動が、企業の情報管理と直結する時代になったことを示す象徴的な出来事です。
だからこそ、IT部門に求められるのは従業員の行動をすべて監視し、取り締まることではありません。プライベートと業務の境界が曖昧になりやすいデジタル接点を前提に、守るべき情報の境界線を明確にし、従業員一人一人が日常の場面で判断できる状態をつくることではないでしょうか。
What to Watch
AI outlook — possibilities, not facts
企業はシャドーIT対策として、ツール単位の管理から情報漏えいの経路単位でのリスク管理へとシフトする。
Very likely · Medium term
従業員に対する、SNS投稿や生成AI利用に関する具体的なリスク教育が強化される。
Very likely · Medium term
生成AIサービス提供企業は、入力情報のプライバシー保護や学習データ利用に関する透明性を高める動きを見せる。
Likely · Long term
Open Questions
- 具体的な情報漏えい事案の詳細は何か?
- どの生成AIサービスが利用され、どのような情報が入力されたのか?
- 企業は過去にどのようなシャドーIT対策を講じていたのか?
- 従業員教育はどの程度実施されていたのか?






